IaaSセキュリティの勘所はハイパーバイザーのセキュリティにありIaaS事業者とは綿密なSLAを

ハイパーバイザーの脆弱性はクラウドセキュリティの脆弱性そのものだ。ハイパーバイザーをものにできれば、各テナントの仮想環境に自由にアクセスできるからだ。

2012年10月02日 08時00分 公開
[Char Sample,TechTarget]

 IaaS(Infrastructure as a Service)の台頭は、仮想環境の普及によるところが大きい。従って、仮想環境のセキュリティが、IaaSセキュリティの“要”になる。このセキュリティこそ、サービス運用の基盤だ。仮想環境とセキュリティ確保の関係を考えるときに注目すべき領域としては、ハイパーバイザーのセキュリティ、リソースの再利用、テナントの管理がある。

ハイパーバイザーのセキュリティ

 仮想環境を作成し管理するハイパーバイザーは、主要な攻撃対象の1つになっている。ハイパーバイザーをものにできれば、各テナントの仮想環境に自由にアクセスできる。これは、従来のIT環境で見られた、特権ユーザーの権限悪用の問題に似ている。ただしクラウドの場合は、セキュリティ侵害の被害が1組織にとどまらず、全ての仮想環境に影響する点が異なる。1台のサーバで平均20組織をサポートできる環境なら、ハイパーバイザーが侵害されると、20の組織全てが不正な特権ユーザーの問題に直面することになる。

 ハイパーバイザーの脆弱性は幸い多くはないが、ゼロではない。あるマルウェアがハイパーバイザーを乗っ取り、それが検知されなければ、マルウェアの作者にぬれ手で粟をつかむ機会を与えることになる。1台の物理サーバに侵入しただけで多数の組織の情報を入手し得るのだから。

 最近報告された「Stuxnet」(産業インフラに感染するマルウェア)、「Duqu」(Stuxnetに類似したマルウェア)、「Flame」(国家の施設を標的とする高度なマルウェア)は、ベストプラクティスとされるセキュリティソリューションの多くが役に立たなかったことを示した。検出されるまでにかかった時間と、この3種類のマルウェアによる被害の大きさを考えてみてほしい。その上で、これらのマルウェアのほとんどがセキュリティソフトウェアを実装しているクラウドサービスではないネットワークに対して、攻撃を成功させていることを考えてほしい。クラウドは、いいかもをまとめて差し出しているようなものだ。

 Duquのようなマルウェアは情報をモニターしてひそかに外部に送る。ハイパーバイザーをターゲットとする同様のマルウェアが作られれば、仮想環境の作成時や運用時の情報だけでなく、環境の破棄についての情報さえも盗み出せるだろう。この情報はひそかに外部に送られるため、存在し続ける。従って、仮想環境を破棄しても、データの破棄は保証されない。

 また、ハイパーバイザーを標的とするDuquのようなマルウェアがあったとしたら、仮想環境についてのログ情報を変更することもできるだろう。これをどう利用するかというと、ログを破壊して攻撃者の特定を難しくすることと、ハッカーがクラウドの仮想環境を攻撃拠点として悪用できるようにすることだ。

 現時点では、これらの攻撃シナリオはどれも実際には発生していない。また、筆者の意図したところは、読者の恐怖心を煽ることではない。情報を提供して、クラウドへの移行が理にかなうかどうか、また移行するのであれば、どの程度のデータをクラウドに移行し、ローカルにどの程度残すのかを検討する際に、読者に十分に注意してほしいという思いからである。

IaaSのセキュリティ:リソースの再利用とテナントの管理

 仮想環境では動的にリソースを割り当て/解除できるが、これは法律上面倒な問題になる可能性がある。

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

市場調査・トレンド フリー株式会社

調査レポートから徹底分析、急速に増加するSaaS導入企業の実態と新たな課題

SaaSの普及により、企業の情報システムは大きく変化した。リモートワークやDX推進が加速する一方、情報システム部門には負担がかかり、セキュリティリスクも増すこととなった。調査レポートから、今後の“在り方”について考察する。

製品資料 株式会社マヒト

低価格かつ高品質な名刺を作成する名刺発注サービス、その9つの特長とは?

ビジネスパーソンに欠かせない名刺だが、作成/発注業務は意外と手間がかかるため、担当者の負担になっていることも少なくない。そこで、名刺の作成から注文までの全工程をWeb上で完結し、業務を効率化する名刺発注サービスを紹介する。

技術文書・技術解説 ドキュサイン・ジャパン株式会社

導入が進む一方で不安も、電子署名は「契約の証拠」になる?

契約業務の効率化やコストの削減といった効果が期待できることから、多くの企業で「電子署名」の導入が進んでいる。一方で、訴訟問題へと発展した際に証拠として使えるのかといった疑問を抱き、導入を踏みとどまるケースもあるようだ。

プレミアムコンテンツ アイティメディア株式会社

VMware「永久ライセンス」を継続する“非公認”の方法

半導体ベンダーBroadcomは仮想化ベンダーVMwareを買収してから、VMware製品の永久ライセンスを廃止した。その永久ライセンスを継続する非公認の方法とは。

製品資料 発注ナビ株式会社

商談につながるリードをなぜ獲得できない? 調査で知るSaaSマーケの課題と対策

SaaSサービスが普及する一方、製品の多様化に伴い、さまざまな課題が発生している。特にベンダー側では、「商談につながるリードを獲得できない」という悩みを抱える企業が多いようだ。調査結果を基に、その実態と解決策を探る。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。